Nóng: OpenSea đưa ra kết luận trong vụ tấn công trị giá triệu USD, lỗi tại ai?

Vụ lừa đảo bắt nguồn từ một email mạo danh

Vụ tấn công của hacker bắt nguồn từ email giả mạo OpenSea, gửi tới người dùng vào tối thứ Bảy, 19/2/2022. Nội dung thư giả mạo thông báo người dùng di chuyển ETH tới Smart Contract mới và sẽ được miễn phí gas. Hạn chót để list thông tin trên Smart Contract mới là 2:00 PM ngày 25 tháng Hai. Người dùng vẫn có thể chuyển ETH lên bản Smart Contract mới sau thời hạn này nhưng sẽ mất phí giao dịch. Từ hình thức đến nội dung khiến nhiều người dùng tưởng đó là email của OpenSea. 

Số tiền thiệt hại nghi ngờ lên 200 triệu USD?

Một số người dùng nghi ngờ và tag tài khoản OpenSea trên Twitter để kiểm tra lại email họ nhận được. Tuy nhiên, số khác đã vô tình đồng ý với thỏa thuận của hacker và làm theo hướng dẫn như trong nội dung email được nhận. Và kết quả thật đáng buồn, số lượng ETH và NFT của họ đã “không cánh mà bay”.

Sau khi vụ việc xảy ra, đã có rất nhiều người dùng đăng lên Twitter thông báo mất ETH và những NFT hiếm như Bored Apes, Azuki và CloneX… Số tiền bị mất trong vụ lừa đảo này cụ thể là bao nhiêu vẫn chưa rõ. Một số cho rằng số tiền thiệt hại là vài triệu USD, nhưng số khác lo lắng, tổng thiệt hại có thể lên tới 200 triệu USD như chia sẻ của tài khoản có tên Plugged Inn đăng trên Twitter. Trong vụ tấn công này, hacker sử dụng “tên tuổi của Opensea” để thực hiện. Do đó, cộng đồng yêu cầu phía OpenSea tiến hành điều tra cụ thể để tìm ra câu trả lời cũng như hỗ trợ người dùng lấy lại số tiền đã mất. 

Kết quả sau khi OpenSea bắt tay điều tra 

Ngay sau khi nhận được lời cầu cứu của cộng động mạng. OpenSea đã bắt tay vào điều tra vụ tấn công sử dụng thư lừa đảo mạo danh sàn và đã tìm được một số câu trả lời. Vào 10: 38 AM, ngày 20/2/2022, CEO và đồng sáng lập OpenSea –  Devin Finzer đã thông báo, sau khi tiến hành điều tra nội bộ và dữ liệu người dùng, OpenSea nhận thấy vụ tấn công này không hề bắt nguồn từ trang web của OpenSea và sẽ tiếp tục hỗ trợ người dùng tìm lại số tiền bị mất. 

“Chúng tôi khẳng định rằng, vụ tấn công của hacker không hề kết nối với trang web OpenSea. Chúng tôi đang tích cực làm việc với những người dùng mất NFT trong vụ này, sau đó điều tra các trang web họ đã kết nối khi làm theo hướng dẫn của hacker trên email giả danh. Phía OpenSea cảm ơn tất cả những user đã liên hệ trực tiếp với chúng tôi. Chúng tôi sẽ cố gắng điều tra rõ ràng và sẽ tìm lại được số tiền bị mất cho người dùng.”

Vào 11: 00 PM cùng ngày, ông Devin Finzer đã đăng trên Twitter khẳng định, hiện tại theo điều tra của OpenSea, chỉ có 32 người dùng bị đánh cắp tài sản và họ chính là những người đã đồng ý thỏa thuận với hacker và làm theo hướng dẫn như nội dung thư lừa đảo. Hơn nữa, số tiền bị thiệt hại là 2 triệu USD, không phải 200 triệu USD như lời đồn. Finzer cũng đề nghị những người dùng bị ảnh hưởng liên hệ với công ty thông qua bộ phận hỗ trợ trên tài khoản Twitter. 

Thị trường NFT vô cùng non trẻ và dễ dàng bị hacker tấn công qua các lỗ hổng bảo mật của sàn giao dịch. Vào cuối tháng Một năm nay, OpenSea đã phải trả 1,8 triệu USD cho người dùng do lỗi mạng khiến nhiều hacker “thừa nước đục thả câu” đã kiếm được rất nhiều NFT của người dùng với giá mặt đất. Trước đó, cũng có nhiều phi vụ tấn công tương tự, một số tài khoản đã qua mặt Etherscan và chiếm được nhiều NFT của BAYC với mức giá cũ. 

Lời kết

NFT trở thành mục tiêu tấn công của hacker trên thị trường tiền mã hóa vì tiềm năng lợi nhuận lớn cũng như tồn tại nhiều lỗi bảo mật dễ dàng tấn công. Tại thời điểm viết bài, phía OpenSea bắt tay vào điều tra, một số người dùng đã được trả lại số NFT bị đánh cắp, số khác vẫn đang chờ đợi câu trả lời của hacker và OpenSea. Hãy đồng hành cùng đội ngũ Coinvn để cập nhật những tin tức mới nhất về vụ việc này và những tin quan trọng khác trên thị trường tiền mã hóa nhé!